Sie sind auf Seite 1von 25

FAQ-Liste zu Sicherheit und Unsicherheit im Internet

eines Arbeitskreises der Gesellschaft fr Informatik e.V. (GI)

1 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Inhalt
Vorbemerkung............................................................................................................................ 5 A. Allgemeine und politische Fragen....................................................................................... 7 A 1: Wie und wo erfolgt staatlicherseits die Aussphung und welche Staaten sind aktiv? .... 7 A 2: Was wird ausgespht?...................................................................................................... 7 A 3: Was geschieht mit den ausgesphten Daten? ................................................................. 7 A 4: Ist das Aussphen durch eigene Geheimdienste (oder die befreundeter Staaten) die einzige oder grte Bedrohung im Netz? An welche anderen Gefahren muss der Nutzer denken? ................................................................................................................................... 8 A 5: Wie weit kann unser Staat (Bund, Lnder) Brger und Unternehmen gegen Angriffe aus dem Netz schtzen? Was geht nur durch internationale Kooperation? .......................... 8 A 6: Welche Eigenschaften und Funktionen des Internets spielen eine besondere Rolle bei der Vorbereitung, Durchfhrung, Verhinderung und Aufdeckung von Verbrechen und Terror? ..................................................................................................................................... 9 A 7: Drfen Polizei und Geheimdienste die neueste Technik nutzen, um Verbrechen aufzudecken oder zu verhindern? Mssen Polizei und Geheimdienste ber gute InternetKompetenz und moderne Analyse-Mglichkeiten verfgen?................................................. 9 A 8: Ist es politisch verantwortbar zu verlangen, dass Polizei und Geheimdienste alles immer offen legen, was sie ber die Ttigkeit von Terroristen und Verbrechern wissen? Drfen sie die evtl. geplanten Gegenmanahmen geheim halten? ..................................... 10 A 9: Was kann eine Fachgesellschaft wie die Gesellschaft fr Informatik (GI) tun? Was hat die GI bisher unternommen? ................................................................................................ 10 B. Technische und konomische Fragen ............................................................................... 11 B 1: Ist es technisch mglich, den Telefon- und E-Mailverkehr aufzuzeichnen? Nur die Verbindungsdaten oder auch die Inhalte? ............................................................................ 11 B 2: Was ist leichter abzuhren: eine WLAN-Verbindung oder eine Verbindung mittels Kabel, oder macht das keinen Unterschied? ......................................................................... 11 B 3: Kann aus Bestellungen im Internet (etwa bei Amazon oder bei eBay) auf meine Interessen und Lebensverhltnisse geschlossen werden? ................................................... 11 B 4: Ist es mglich, Nachrichten nach Entstehungszeit und -ort zu klassifizieren? .............. 12 B 5: Knnen E-Mails manipuliert werden? ............................................................................ 12 B 6: Was ntzen Firewalls, Intrusion Detection und Protection Systeme? ........................... 12

2 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

B 7: Existieren Hintertren, undokumentierte Funktionen in Standardsoftware und Betriebssystemen (Windows, Unix/Linux, iOS) und unverffentlichte Sicherheitslcken (Zero-Day-Vulnerabilities). .................................................................................................... 12 B 8: Gibt es hundertprozentige Sicherheitsmanahmen gegen Penetration und berwachung?....................................................................................................................... 13 B 9: Was ist mit Datensparsamkeit gemeint? Wie sinnvoll ist sie? ....................................... 13 B 10: Was bedeutet Wirtschaftsspionage? Welche Folgen hat Wirtschaftsspionage? Ist auch Sabotage mglich? ........................................................................................................ 13 B 11: Wei man, nach welchen Kriterien von staatlichen Stellen berwacht wird, bzw. nach welchen Stichworten gesucht wird? ..................................................................................... 13 B 12: Knnen Nachrichtendienste aus den Unmengen gespeicherten Daten berhaupt etwas herausfinden, oder macht die schiere Masse das sowieso unmglich? .................... 14 B 13: Wie harmlos ist es, wenn "nur" Verbindungs- oder Metadaten ausgespht werden?14 C. Aussphung und mgliche Abwehr .................................................................................. 14 C 1: Wie telefoniere ich sicherer: vom Festnetz oder vom Handy aus? Ntzt es etwas, wenn ich am Telefon die Rufnummernanzeige unterdrcke? ........................................................ 14 C 2: Ist es hilfreich, im Browser standardmig https einzustellen? .................................... 14 C 3: Was sind Apps und wie sicher sind sie? ......................................................................... 14 C 4: Mit welchen Sicherheitsmanahmen kann ich mich privat oder mein Unternehmen schtzen? Meine Kommunikation und meine gespeicherten Daten? .................................. 15 C 5: Wie verschlssele ich? Muss mein Kommunikationspartner auch verschlsseln oder reicht es, wenn ich das tue? .................................................................................................. 15 C 6: Machen sich Anwender von Verschlsselung verdchtig? ............................................ 16 C 7: Gibt es Unterschiede bei Suchmaschinen im Internet, was Datenspeicherung und berwachung angeht? .......................................................................................................... 16 D. Rechtliche Fragen .............................................................................................................. 16 D 1: Welche Rechte haben deutsche Behrden? .................................................................. 16 D 2: Gibt es ein Supergrundrecht auf Sicherheit? .............................................................. 18 D 3: Habe ich das Recht, etwas verbergen zu wollen? .......................................................... 19 D 4: Kann ich mich bei Fragen an den Bundesdatenschutzbeauftragten wenden? ............. 22 D 5: Wo kann ich Bestimmungen zum Datenschutz nachlesen? Ist der Ausdruck Datenschutz noch passend, wenn es primr um Kommunikationsverhalten geht? ......... 23

3 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

D 6: Wie lsst sich Privatsphre definieren? Was ist rechtlich klar definierbar, was ist subjektives Gefhl und Wunschdenken? Gibt es Unterschiede zwischen Europa und USA? ............................................................................................................................................... 23 D 7: Gibt es gesetzliche Auflagen, die Firmen aus den USA wie Amazon, Google und Facebook erfllen mssen, um Geheimdienste oder Ermittlungsbehrden zu untersttzen? (a) Amerikanische Brger betreffend (b) Nicht-Amerikaner betreffend. Kann ich im Internet ohne Bedenken Dienste in Anspruch nehmen, von denen bekannt ist, dass sie die CloudFunktionen bekannter amerikanischer Anbieter (wie Amazon und Google) nutzen? ......... 24

4 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

FAQ zu Sicherheit und Unsicherheit im Internet


Vorbemerkung
Die Offenlegungen des frheren NSA-Mitarbeiters Edward Snowden haben Politik und Gesellschaft anscheinend aus einem Dmmerschlaf gerissen. Pltzlich wird vielen Menschen bewusst, in welchem Mae Nachrichtendienste die technischen Errungenschaften der Informatik zur Terror- und Verbrechensbekmpfung einsetzen und wie rasch solche Eingriffe des Staates zur Gewhrleistung von Sicherheit die Persnlichkeitsrechte des Einzelnen und die Privatsphre gefhrden knnen. Die politische Bedeutung des Themas erschwert eine sachliche Diskussion, berhrt sie doch die Grundlagen unseres Lebens im digitalen Zeitalter. Daher sehen sich Mitglieder der Gesellschaft fr Informatik veranlasst, dem interessierten Brger und verantwortungsbewussten Informatiker Hintergrundinformationen zum Kontext der IT-gesttzten Aussphung bereitzustellen. Im Fokus stehen dabei folgende Leitfragen:
Wer berwacht wie und in welchem Mae unsere Kommunikation? Wer dringt wie und in welchem Mae in unsere Computer ein? Auf welcher rechtlichen Grundlage geschieht dies? Wie knnen wir uns davor schtzen?

Wir nhern uns diesen Leitfragen mit einer Sammlung von fast 40 detaillierteren Fragen und Antworten, die wir in vier Rubriken eingeteilt haben: Neben allgemeinen und politischen Fragen stehen technische und konomische sowie rechtliche. Eine Rubrik mit Fragen zur mglichen Abwehr rundet die FAQ-Liste ab. Wir nehmen sachlich zu den Fragen Stellung und belegen dort, wo es uns mglich ist, unsere Aussagen mit Fakten. Allein aus der Tatsache, dass Geheimdienste in der Regel im Geheimen agieren, lsst sich aber ableiten, dass wir an manchen Stellen auch den Mut haben mssen, vor dem Hintergrund unserer fachlichen Kompetenz Einschtzungen zu treffen. Diese kennzeichnen wir aber auch als solche. In einer spteren Ausgabe lassen sich manche der Annahmen mglicherweise noch konkretisieren. Zu den verwendeten Begrifflichkeiten noch so viel: Viele sprechen angesichts der aktuellen Enthllungen von einem Abhrskandal. Wir halten das Wort abhren im Zusammenhang mit der erlaubten oder unerlaubten Speicherung digitaler Informationen und der algorithmischen Suche nach Schlsselworten fr verharmlosend, suggeriert es doch, dass ein menschliches Wesen synchron mithrt, also einen Vorgang, der Missbrauch im ganz groen Stil gar nicht zulsst. Wir verwenden stattdessen den Begriff des Aussphens von Daten. Des Weite5 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

ren verwenden wir die Begriffe Nachrichtendienst und Geheimdienst synonym. Whrend Nachrichtendienst der korrekte Begriff ist, wird in den Medien meist von Ge heimdienst gesprochen. Gemeint sind Behrden, die im In- oder Ausland Aufklrung fr die Sicherheit des Staates oder andere staatliche Ziele (z.B. Frderung der heimischen Wirtschaft) betreiben und dazu u.a. mit nachrichtendienstlichen Mitteln arbeiten, d.h. im Verborgenen Informationen sammeln und auswerten. Ihr Auftrag ist von Land zu Land sehr unterschiedlich und kann sich auch auf die Sammlung wirtschaftsbezogener Informationen erstrecken. Kommentare und Rckfragen sind willkommen. Gerne per E-Mail an cornelia.winter@gi.de. Redaktionsteam: Rudolf Bayer, Albert Endres, Hannes Federrath, Herbert Fiedler, Oliver Gnther, Agata Krlikowski, Peter Lhr, Hartmut Pohl, Kai Rannenberg, Helmut Redeker, Simone Rehm (Leitung), Alexander Ronagel, Joachim Schrey, Gerhard Weck, Ernst-Oliver Wilhelm, Cornelia Winter

6 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

A. Allgemeine und politische Fragen


A 1: Wie und wo erfolgt staatlicherseits die Aussphung und welche Staaten sind aktiv?
Ob Seekabel, berlandkabel, Richtfunk oder Satellit - all diese Verkehrswege knnen mit geeigneten technischen Einrichtungen angezapft und laufend berwacht werden. Auch wenn derzeit insbesondere der amerikanische und britische Geheimdienst ins Visier der Medien geraten sind, gehen wir davon aus, dass im Prinzip alle Lnder, die einen Geheimdienst betreiben, solche Einrichtungen zur Nachrichtenbeschaffung nutzen. Dies sind neben groen Lndern wie z.B. den USA, Russland und der Volksrepublik China auch kleine Lnder wie z. B. die Niederlande und Luxemburg. Was heit das fr uns? Deutsche Unternehmen, die Daten (z.B. Konstruktions- oder Vertriebsdaten) ber das Internet an Tochterunternehmen oder Filialen im Ausland versenden und dort verarbeiten lassen, mssen ebenso mit berwachung rechnen wie deutsche Brger, die international kommunizieren. Dasselbe gilt auch in der umgekehrten Richtung. berwacht werden, so muss man befrchten, nicht nur die Verkehrswege, sondern auch die Server von Telekommunikationsanbietern und den Betreibern sozialer Netze.

A 2: Was wird ausgespht?


Das 2001 vom Europaparlament nachgewiesene, weltweit eingesetzte Abhrsystem ECHELON wird seit ca. 1970 betrieben und dient der berwachung von Satellitenkommunikation. Mit den jetzt aufgedeckten Sphprogrammen wie PRISM und Tempora lsst sich auch drahtgesttzte Kommunikation flchendeckend aussphen. Nutzerdaten knnen in Echtzeit abgegriffen, gesammelt und spter zusammengefhrt werden. Gerte, die ber das Internet erreichbar sind wie z.B. Telefon, Handy, Fax, Kopierer und Scanner, knnen ebenso ausgespht werden wie Internetdienste. Dies knnen Dienste fr Video-Konferenzen sein, Internet-Mail und Dateiaustausch ber das Netz, Social Media, Video- und Bilddienste, YouTube, Cloud-Dienste oder finanzielle Transaktionsdienste (SWIFT). Betroffene Daten sind u.a. Kreditkartendaten, Fluggastdaten, Passwrter oder URLs besuchter Webseiten, mit dem jeweiligen Aufenthaltsort des Handelnden sowie Datum und Uhrzeit der Aktivitten. Das Aussphen solcher Gerte und Dienste fllt technisch leicht, weil die analoge Datenbertragung zunehmend der digitalen weicht und immer fter das Internet-Protokoll (IP) verwendet wird. Technisch aufwndiger ist nicht nur aufgrund der schieren Datenmenge die Analyse und das Zusammenfhren der Daten.

A 3: Was geschieht mit den ausgesphten Daten?


Auch wenn es monstrs erscheint, die technischen Mittel lassen zu, dass weltweit die digitale Kommunikation berwacht wird. Das heit, dass sich Kommunikationsvorgnge im Inter7 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

net aufzeichnen lassen, und die Verbindungsdaten, d.h. Datum, Sender- und Empfngerdaten sowie Lokationsdaten gespeichert werden knnen. Dies ist insofern unmittelbar einleuchtend, da diese Verbindungsdaten zum Aufbau der Kommunikationsverbindung notwendig sind und daher in der Kommunikation enthalten sein mssen. In welchem Umfang dies tatschlich geschieht und inwiefern diese Verbindungsdaten danach auch gezielt ausgewertet werden, entzieht sich unserer Kenntnis. Unbestritten ist, dass dies geschehen kann und offenbar in viel strkerem Mae geschieht als bisher angenommen und zwar abhngig von der jeweiligen Bedarfslage legitimiert oder auch nicht legitimiert. Die Inhalte der Kommunikation knnen ebenfalls gescannt und abgefangen bzw. gespeichert werden, wobei eine komplette anlasslose Speicherung und Aufbewahrung von Verbindungsdaten und Inhalten sehr kostenintensiv ist und nicht nur in Deutschland auch gegen geltendes Recht verstt (Stichwort: Vorratsdatenspeicherung). Sind Daten allerdings erst einmal aufgezeichnet, lassen sie sich auch einfach manipulieren: man kann sie lschen, unkenntlich machen oder inhaltlich verndern. Dies alles fllt unter den Tatbestand der Sabotage. Langfristig lassen sich auch Jahre und Jahrzehnte zurckliegende Aktivitten aus gespeicherten Daten bei Bedarf in einem einzigen Dossier zusammenfassen. Dies lsst sich nicht verhindern, selbst Verschlsselung kann gebrochen werden (z.B. SSL, TLS, S/MIME, Skype).

A 4: Ist das Aussphen durch eigene Geheimdienste (oder die befreundeter Staaten) die einzige oder grte Bedrohung im Netz? An welche anderen Gefahren muss der Nutzer denken?
Es gibt eine Vielzahl von Gefahren, die oft erheblich mehr Schaden anrichten knnen als das Aussphen. Denn es gibt kaum eine Straftat, die heute nicht im Internet ihre eigene Ausprgung gefunden hat. Das gilt fr Diebstahl, Betrug und Erpressung ebenso wie fr Drogenhandel, Pderastie und Kinder-Pornografie. Auer den Aussphungen befreundeter Geheimdienste mssen Nutzer mit Aktionen rivalisierender Lnder, diverser Kleinkrimineller, konkurrierender Unternehmen oder der organisierten Kriminalitt (z.B. Mafia, Drogenkartelle) rechnen. Je wertvoller ein Inhalt im Netz, umso grer ist das Interesse daran. Der Wert hngt wiederum von der Stellung einer Person oder der Gre, bzw. dem Ttigkeitsfeld eines Unternehmens ab. Die derzeitige Diskussion enthlt die Gefahr, dass viele dieser Bedrohungen vergessen oder in den Hintergrund gedrngt werden.

A 5: Wie weit kann unser Staat (Bund, Lnder) Brger und Unternehmen gegen Angriffe aus dem Netz schtzen? Was geht nur durch internationale Kooperation?
Im Internet sind Landesgrenzen irrelevant; interessanter sind Sprachgrenzen. Fr Terror und organisiertes Verbrechen treten diese jedoch in den Hintergrund. Die Vorbereitung eines Verbrechens kann in einem anderen Land geschehen als die Durchfhrung. Unser Staat kann
8 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Brger und Unternehmen bestenfalls dann vor Datenklau schtzen, wenn die Daten sein Territorium nicht verlassen. Alle anderen Schutzmanahmen bedrfen der internationalen Kooperation.

A 6: Welche Eigenschaften und Funktionen des Internets spielen eine besondere Rolle bei der Vorbereitung, Durchfhrung, Verhinderung und Aufdeckung von Verbrechen und Terror?
Das Internet ist ursprnglich vom Paradigma guter Nachbarschaft geprgt, die bei seiner heutigen Nutzung nicht immer angenommen werden kann. Manahmen zum Schutz der Internetanbindung Einzelner gegen Sabotage sind nicht vorgesehen. Nutzer mssen sich nicht identifizieren. Sie knnen sich also leicht hinter einem Pseudonym verstecken, was missbraucht werden kann. Weiterhin ist das Internet nicht zur Absicherung von Rechtsgeschften, wie z. B. Vertrgen, und zur Absicherung von Rechtsansprchen konzipiert worden. Die entgeltfreie Nutzung ermglicht zudem die millionenfache Duplizierung von Nachrichten (mit der Auswirkung als Spam-Problem). Das Ignorieren nationaler Grenzen macht die Anwendung nationaler Gesetze und nationaler Kontrollen sehr schwierig, da das anzuwendende Recht in der Regel durch den Standort des Servers bestimmt wird, was straf- und zivilrechtliche Verfolgung behindert. Auch ist die Verbrechensbekmpfung durch nationale Behrden somit erschwert, wenn nicht sogar unmglich.

A 7: Drfen Polizei und Geheimdienste die neueste Technik nutzen, um Verbrechen aufzudecken oder zu verhindern? Mssen Polizei und Geheimdienste ber gute Internet-Kompetenz und moderne Analyse-Mglichkeiten verfgen?
Polizei und Geheimdienste drfen die neueste Technik nutzen, um Verbrechen aufzudecken oder zu verhindern, wenn dafr eine gesetzliche Grundlage besteht. Erfahrungsgem benutzen Straftter fast immer die neueste Technik. Nur eine Gleichheit der Waffen gestattet es den Sicherheitsbehrden, Straftaten zu verhindern oder zeitnah aufzuklren. Muss die Polizei einem Autodieb per Fahrrad folgen, sind ihre Erfolgsaussichten beschrnkt. Gegen Tter, die das Internet zur Vorbereitung und Durchfhrung von Verbrechen benutzen, kann nur mit hoher Informatik-Kompetenz und entsprechender Ausstattung begegnet werden. Der internationale Charakter des Internets, seine Datenmengen und das groe Verkehrsaufkommen wecken auch bei Sicherheitsbehrden das Interesse an der Beherrschung moderner Analysemethoden, wie sie etwa mit dem Begriff Big Data umschri eben werden.

9 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

A 8: Ist es politisch verantwortbar zu verlangen, dass Polizei und Geheimdienste alles immer offen legen, was sie ber die Ttigkeit von Terroristen und Verbrechern wissen? Drfen sie die evtl. geplanten Gegenmanahmen geheim halten?
Viele Manahmen der fr die Verbrechensverhtung und Verbrechensverfolgung zustndigen Organe sind nur dann sinnvoll, wenn sie im Geheimen geplant und ausgefhrt werden knnen. Eine Katze, der man eine Schelle umhngt, ist beim Musefangen schlecht dran. Nachrichtendiente mssen geheim arbeiten. Ihre Ttigkeit entzieht sich deshalb in groen Teilen der medialen Berichterstattung und damit dem Bewusstsein der ffentlichkeit. Einem Missbrauch dieses Privilegs soll durch eine Kontrolle seitens der zustndigen Parlamente entgegengewirkt werden. Auf Ebene des Bundes ist dies das Parlamentarische Kontrollgremium (PKGr) des Deutschen Bundestages, das allerdings unter Ausschluss der ffentlichkeit tagt.

A 9: Was kann eine Fachgesellschaft wie die Gesellschaft fr Informatik (GI) tun? Was hat die GI bisher unternommen?
Fr die meisten Laien, aber auch fr viele Fachleute, sind Sicherheitsfragen (Bedrohungen, Gegenmanahmen) ein rotes Tuch. Sie sind unangenehm und man geht ihnen gern aus dem Weg. Es gibt einen Fachbereich der GI, in dem sich viele Fachleute, die sich mit Sicherheitsfragen befassen, austauschen. Ein dem GI-Prsidium zuarbeitender Arbeitskreis wird aktiv, wenn Themen anstehen, zu denen Stellungnahmen der GI erforderlich oder wnschenswert sind. Zwei neue Vorschlge ergeben sich aus der augenblicklichen Situation: (1) Die GI sollte sich dafr einsetzen, dass es eine Art Ombudsmann fr Sicherheit und Vertrauen in der Informatik gibt, an den sich GI-Mitglieder (und andere Brger) wenden knnen, die sich allein gelassen fhlen. (2) ber ihre Schwestergesellschaften in Europa und weltweit kann sie sich dafr einsetzen, dass politische Vereinbarungen getroffen werden, die die Brger eines Landes vor bergriffen der Geheimdienste anderer Lnder schtzen. Als Reaktion auf die derzeitige Aufmerksamkeit der Medien gibt es eine Initiative (von Prof. Rudolf Bayer, TU Mnchen, angestoen), die sich bemht, fr die bekannten asymmetrischen Verschlsselungsverfahren gute und vertrauenswrdige Implementierungen zu finden und diese im massenhaften Einsatz zu testen. Man hofft, dadurch bei GI-Mitgliedern (und Informatikern allgemein) zu einer breiteren Anwendung und Akzeptanz von Schutzmanah-

10 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

men zu gelangen und Anwender von Verschlsselung von dem Verdacht zu befreien, sie tten Verbotenes. Mehr dazu finden Sie unter http://www.gi.de/aktuelles/meldungen/detailansicht/article/gifellow-bayer-zur-e-mailverschluesselung-ein-selbstversuch-und-eine-anleitung.html.

B. Technische und konomische Fragen


B 1: Ist es technisch mglich, den Telefon- und E-Mailverkehr aufzuzeichnen? Nur die Verbindungsdaten oder auch die Inhalte?
In gegenwrtigen Mobilfunknetzen werden Mobiltelefone vom jeweiligen Netzbetreiber fortlaufend geortet, um bei Bedarf eine Verbindung aufbauen zu knnen. Dabei sind dem Netzbetreiber alle technischen Daten des Telefons bekannt und auch die Daten des jeweiligen Gesprchs zusammen mit den sogenannten Verkehrsdaten Datum, Uhrzeit, sowie der Telefonnummern des jeweiligen Gesprchspartners. Nach bisherigem Recht mssen die Anbieter die Verbindungsdaten nach Beendigung der Verbindung unverzglich wieder lschen, es sei denn sie bentigen sie zu Abrechnungszwecken. Auch Gesprchsinhalte drfen nicht anlasslos aufgezeichnet und gespeichert werden. Verkehrsdaten und Gesprchsinhalte knnen von den Servern des Netzbetreibers zwar unberechtigt in Echtzeit kopiert werden; dieses Vorgehen wre allerdings strafbar.

B 2: Was ist leichter abzuhren: eine WLAN-Verbindung oder eine Verbindung mittels Kabel, oder macht das keinen Unterschied?
Eine unverschlsselte WLAN-Verbindung kann von allen Computern innerhalb der Senderreichweite mitgelesen werden. Eine verschlsselte Verbindung msste erst entschlsselt werden; diese ist also sicherer aber nicht hundertprozentig sicher, weil sie mit entsprechenden Verfahren entschlsselt werden kann. Auch eine Kabelverbindung ist nicht sicher gegen Abhrversuche, insbesondere wenn der Angreifer physischen Zugriff auf das Kabel hat und so die Daten abgreifen oder die Abstrahlung ausnutzen kann.

B 3: Kann aus Bestellungen im Internet (etwa bei Amazon oder bei eBay) auf meine Interessen und Lebensverhltnisse geschlossen werden?
Ja, das ist sogar ein wesentlicher Teil des Geschftsmodells dieser Firmen. Der Verkufer hat eine vollstndige Auflistung aller Kufe und wertet die Liste auch aus; das ist an dem Satz zu erkennen Kufer dieses Produkts kauften auch . Aus der Wohngegend wird auf die wirtschaftliche Leistungsfhigkeit des Kufers geschlossen. Diese personenbezogenen Daten drfen nach den Datenschutzgesetzen nicht weitergegeben werden, ohne dass der Kunde zustimmt. Oft enthalten die Geschftsbedingungen von Internethndlern allerdings die Be11 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

stimmung, dass der Hndler die Daten an Kreditauskunfteien weiter geben darf, wenn es Schwierigkeiten mit der Zahlung gibt. Einem auslndischen Unternehmen anvertraute Daten deutscher Unternehmen knnen genauso wie private Daten Deutscher den zustndigen (auslndischen) nationalen Behrden weitergegeben werden.

B 4: Ist es mglich, Nachrichten nach Entstehungszeit und -ort zu klassifizieren?


Alles, was ber das Internet geht, wird mit dem Erstellungs- und Versendedatum sowie der Uhrzeit versehen. Der Ort der Versendung lsst sich bei mobilen Gerten aus verschiedenen Quellen (z.B. GPS oder Ortungsdaten des Mobilfunknetzbetreibers) ermitteln. Auch bei stationren Gerten lsst sich oft aus der IP-Adresse auf den Standort schlieen.

B 5: Knnen E-Mails manipuliert werden?


Das SMTP-Protokoll, das fr die meisten Mails verwendet wird, bietet keinerlei Schutz vor Manipulation; es knnen beliebige Empfnger- und Sendedaten eingegeben werden. Eine andere Form der Manipulation ist das Vor- oder Zurckstellen des Datums im Computer Werden mit dem auf diese Weise manipulierten Rechner E-Mails versandt, tragen sie das manipulierte Datum.

B 6: Was ntzen Firewalls, Intrusion Detection und Protection Systeme?


Die Verwendung solcher Sicherheitssoftware entspricht dem Stand der Technik. Wer seinen Rechner vor dem Eindringen Unbefugter schtzen will, muss derartige Software einsetzen. Aber: Sicherheitssoftware erhht zwar die Sicherheit enthlt aber meist noch nicht verffentlichte, mglicherweise auch sicherheitsrelevante Fehler (Sicherheitslcken), die fr Angriffe ausgenutzt werden knnen.

B 7: Existieren Hintertren, undokumentierte Funktionen in Standardsoftware und Betriebssystemen (Windows, Unix/Linux, iOS) und unverffentlichte Sicherheitslcken (Zero-Day-Vulnerabilities).
Softwarehersteller kennen nicht alle Sicherheitslcken ihrer Software. Die Hersteller patchen aus wirtschaftlichen und/oder strategischen Grnden auch nur einen Teil der ihnen bekannten Sicherheitslcken; z.T. werden auch bereits verffentlichte Sicherheitslcken erst nach Jahren behoben. Software kann auch Hintertren (back doors) und andere undokumentierte, dem Anwender nicht bekannte Funktionen (covert functions wie covert channels) enthalten. Da sie noch nicht verffentlicht sind, kann sich niemand gegen sie schtzen. Tatschlich kann unter Ausnutzung dieser Sicherheitslcken unerkannt in Computer und Systeme eingedrungen werden.

12 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

B 8: Gibt es hundertprozentige Sicherheitsmanahmen gegen Penetration und berwachung?


Nach dem aktuellen Stand der Technik kann (fast) jedes auch mit Firewalls, Virensuchprogrammen etc. abgesicherte - System erfolgreich angegriffen werden. Wir gehen davon aus, dass es gegen Penetration (Eindringen in Computer) und berwachung keinen wirksamen Schutz gibt, denn mit gengend Aufwand kann jedes System geknackt werden. Nach dem aktuellen Stand der Technik knnen auch aus verschlsselten Nachrichten Inhalte abgeleitet werden, ohne die Verschlsselung zu brechen. Auch Anonymisierungsdienste wie TOR haben kaum verlssliche Wirkung, weil die dafr relevanten Netzknoten berwacht werden knnen.

B 9: Was ist mit Datensparsamkeit gemeint? Wie sinnvoll ist sie?


Datensparsamkeit ist ein Konzept aus dem Datenschutz und beschreibt die Grundidee, bei der Verarbeitung von Daten nur so viele personenbezogene Daten zu sammeln, wie die jeweilige Anwendung tatschlich braucht. Will man diese Idee auf den Schutz vor berwachung ausdehnen, hiee das, dass nur Daten in IT-Systemen und Netzwerken, die mit dem Internet verbunden sind, gespeichert und bertragen werden drfen, bei denen das fr die Anwendung unabdingbar ist. Speziell fr global agierende Unternehmen ist diese Forderung jedoch unrealistisch. Am sichersten wre es dennoch, wenn man die wertvollsten Daten von Unternehmen auf so genannten stand-alone Systeme speichern knnte ohne Anschluss an das Internet.

B 10: Was bedeutet Wirtschaftsspionage? Welche Folgen hat Wirtschaftsspionage? Ist auch Sabotage mglich?
Wirtschaftsspionage ist die Beschaffung von Informationen durch konkurrierende Organisationen. Die Informationsgewinnung geschieht entweder von auen oder von innen. Neben der Informationsgewinnung (Schutzziel Vertraulichkeit) sind auch Manipulationen und Strungen des Betriebs (Schutzziele Integritt und Verfgbarkeit) sowie Sabotage denkbar. Wirtschaftsspionage ist vor allem auf strategische Ziele gerichtet und beinhaltet z.B. das Stehlen von Konstruktionszeichnungen, geplanten Patenten oder Finanzplanungsdaten.

B 11: Wei man, nach welchen Kriterien von staatlichen Stellen berwacht wird, bzw. nach welchen Stichworten gesucht wird?
Wortlisten sind nicht verffentlicht. Benutzt werden vermutlich Begriffe z.B. der organisierten Kriminalitt sowie von Terroristen fr Straftaten, Rauschgift, Waffen, und es werden Namen, Adressen, Telefonnummern zu Suche einschlgig aktiver Personen eingesetzt.

13 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

B 12: Knnen Nachrichtendienste aus den Unmengen gespeicherten Daten berhaupt etwas herausfinden, oder macht die schiere Masse das sowieso unmglich?
Die massenhafte berwachung von Teilnehmeranschlssen fhrt zu einem sehr groen Datenvolumen, das weitergeleitet, gespeichert und ausgewertet werden kann. Fr die Auswertung sind die Indizierung und der Zeitbedarf fr die Auswertung relevant. Suchmaschinen im Internet machen beispielsweise nichts anderes fr alle weltweit ber das Internet erreichbare Daten.

B 13: Wie harmlos ist es, wenn "nur" Verbindungs- oder Metadaten ausgespht werden?
Aus den Verbindungsdaten ergibt sich, wann wer mit wem wie viel oder wie lange kommuniziert hat. Daraus ergibt sich oft auch der Aufenthaltsort und es kann auf Aktivitten wie Geschftsverbindungen geschlossen werden; insgesamt kann das individuelle Nutzerverhalten genau analysiert werden. Es knnen aber, wie erwhnt, nicht nur Verbindungsdaten, sondern auch vollstndige Inhalte aufgezeichnet werden.

C. Aussphung und mgliche Abwehr


C 1: Wie telefoniere ich sicherer: vom Festnetz oder vom Handy aus? Ntzt es etwas, wenn ich am Telefon die Rufnummernanzeige unterdrcke?
Bei der Mobilkommunikation wird in Deutschland im Allgemeinen die Funkstrecke bis zum nchsten Sende-/Empfangsmast verschlsselt; im Festnetz wird die bertragene Information nicht verschlsselt. Mit der Rufnummernunterdrckung wird nur erreicht, dass die (mitgesendete) Nummer beim Gesprchsempfnger nicht angezeigt wird. Der Netzbetreiber und andere Berechtigte so z.B. die Polizei knnen die Nummer sehen. Rufnummernunterdrckung ist also nur eine Sicherheitsmanahme gegen Missbrauch seitens des Gesprchsempfngers.

C 2: Ist es hilfreich, im Browser standardmig https einzustellen?


Mit dem Protokoll https wird (im Gegensatz zu http) eine verschlsselte Verbindung zum Server aufgebaut, wenn der Server dies untersttzt. Allerdings liegt die bertragene Nachricht im sendenden Computer und im empfangenden Computer unverschlsselt vor und kann bei Eindringen in den Computer ausgelesen werden.

C 3: Was sind Apps und wie sicher sind sie?


Apps sind Anwendungsprogramme auf mobilen Gerten. Apps werden - je nach Art der App - nicht standardmig auf Sicherheit geprft. Auerdem hngt die Sicherheit von Apps stark von der Sicherheit des Betriebssystems und des AppStores (Plattform, von der die App her14 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

untergeladen werden kann) ab. Viele Apps sind darauf ausgelegt, laufend Daten ber Nutzung und Nutzerverhalten an die App-Entwickler und/oder den AppStore zu bermitteln. Nutzer wissen dies oft nicht.

C 4: Mit welchen Sicherheitsmanahmen kann ich mich privat oder mein Unternehmen schtzen? Meine Kommunikation und meine gespeicherten Daten?
Hundertprozentige Sicherheit gibt es nicht. Das bedeutet, dass ein Angreifer mit hinreichendem Aufwand (an Geld und Zeit) fast immer erfolgreich sein wird. Fr praktische Verschlsselungsverfahren werden heute Zusicherungen von hchstens 30 Jahren gemacht. Die mathematischen Verfahren der Verschlsselung gelten somit zwar als relativ sicher. Dennoch mssen diese implementiert und angewendet werden, und da Software nie fehlerfrei ist, garantiert auch der Einsatz von Verschlsselungssoftware keinen hundertprozentigen Schutz. Ziel muss also sein, das Sicherheitsniveau so zu heben, dass der Angreifer mehr Aufwand treiben muss, als die gespeicherten und bertragenen Daten ihm wert sind. Das bedeutet im Privaten: Verschlsseln aller gespeicherten und bertragenen Daten. Starke Zugriffskontrolle (Passworte mit mehr als 12 Zeichen, mit alphabetischen, numerischen und Sonderzeichen, Passwort mglichst hufig wechseln). Die Rollen Administrator und Anwender trennen. Mglichst anonym surfen. Hierzu findet man im Internet einschlgige Tipps zu Software und Verfahren. Generell gilt: Risikovermeidung ist der erste Schritt zu mehr Sicherheit. Daten, die nicht unbedingt elektronisch gespeichert und bermittelt werden mssen, sind auf Papier sicher vor Netzberwachung.

C 5: Wie verschlssele ich? Muss mein Kommunikationspartner auch verschlsseln oder reicht es, wenn ich das tue?
Gespeicherte Daten sollten symmetrisch verschlsselt werden d.h. ein einziger Schlssel wird zum Verschlsseln und Entschlsseln benutzt. Dieser Schlssel muss vor Dritten sorgfltig verborgen werden und darf keinesfalls auf dem Computer gespeichert werden. bertragene Daten sollten asymmetrisch verschlsselt werden - d.h. es wird je ein Schlssel zum Verschlsseln und ein anderer entsprechender zum Entschlsseln benutzt. Einer der beiden Schlssel (der sogenannte private Schlssel) muss vor Dritten sorgfltig verborgen werden, darf also nicht auf dem Computer gespeichert werden. Der Kommunikationspartner muss dasselbe Verfahren benutzen.

15 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Verschlsselungsprogramme ermglichen die Verschlsselung von Dateien und E-Mails. Allerdings erfordern Installation und Benutzung einiges an Sachkenntnis. Tipps zu Verschlsselungsprogrammen finden sich im Internet.

C 6: Machen sich Anwender von Verschlsselung verdchtig?


Verschlsselte und unverschlsselte Nachrichten sind leicht unterscheidbar. Das heit, berwachungsorgane knnen erkennen, dass Verschlsselung eingesetzt worden ist. Was sie daraus schlieen, bleibt offen.

C 7: Gibt es Unterschiede bei Suchmaschinen im Internet, was Datenspeicherung und berwachung angeht?
Grundstzlich gehen wir davon aus, dass alle Suchmaschinen im Internet berwacht werden. Ein hheres Sicherheitsniveau als beim Marktfhrer Google wird von Suchmaschinen wie Metager2, ixquick, Scroogle, StartPage, DuckDuckGo erreicht, die zwar ebenfalls berwacht werden (knnen), aber weder IP-Adressen noch andere personenbezogene Daten der Anfragenden speichern. Systeme wie TOR zur Abwehr von berwachung zu benutzen, macht es fr einen berwacher einer Suchmaschine schwerer, festzustellen, wo eine Anfrage herkommt. Eine berwachung von Systemen wie TOR ist natrlich prinzipiell ebenfalls mglich, allerdings ist die dezentrale Auslegung dieser Systeme ein sinnvoller Schutz.

D. Rechtliche Fragen
D 1: Welche Rechte haben deutsche Behrden?
Sofern Deutsche aussphen, sind das Telekommunikationsgeheimnis und das Bundesdatenschutzgesetz berhrt; rechtliche Grundlagen fr ein Aussphen, Abhren oder Mitlesen von Telekommunikationsinhalten ergeben sich aus mehreren Gesetzen. Ein Aussphen (von Metadaten und Inhalten) ohne explizite gesetzliche Grundlage ist in Deutschland aufgrund des grundgesetzlich geschtzten Telekommunikationsgeheimnisses verboten. Auch ohne Wissen der Betroffenen drfen von den Strafverfolgungsbehrden gem 100a Abs. 1 Strafprozessordnung (StPO) Telekommunikationsvorgnge berwacht und aufgezeichnet werden, wenn Tatsachen den Verdacht begrnden, dass jemand als Tter oder Teilnehmer eine schwere Straftat begangen hat oder in Fllen, in denen der Versuch strafbar ist, zu begehen versucht oder dadurch eine weitere Straftat vorbereitet hat. Die Straftaten, die in diesem Sinne als schwere Straftaten gelten, sind in 100a Abs. 2 StPO aufgelistet. Sie reichen von Straftaten des Friedensverrats, des Hochverrats und der Gefhrdung des demokratischen Rechtstaats ber Straftaten gegen die sexuelle Selbstbestimmung, Mord und Totschlag, Raub und Erpressung, gewerbsmige Hehlerei, Betrug und Computerbetrug bis hin zu gefhrlichen Eingriffe in den Straenverkehr, Brandstiftung etc. Zu den schweren
16 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Straftaten im Sinne dieser Vorschrift gehren aber auch Steuerstraftatbestnde wie Steuerhinterziehung, gewerbsmiger, gewaltsamer und bandenmiger Schmuggel oder Steuerhehlerei sowie zahlreiche Straftaten aus Spezialgesetzen, wie beispielsweise dem Auenwirtschaftsgesetz, dem Betubungsmittelgesetz, dem Kriegswaffenkontrollgesetz, dem Waffengesetz oder dem Vlkerstrafgesetzbuch. Das Abhren des Telekommunikationsverkehrs bedarf in allen genannten Fllen jeweils der richterlichen Anordnung, die schriftlich abzufassen ist. Nur in Fllen der Gefahr im Verzug darf auch die Staatsanwaltschaft selbst das Abhren von Telefongesprchen und sonstigen Telekommunikationsvorgngen anordnen; in diesem Falle muss aber die Anordnung richterlich innerhalb von 3 Werktagen besttigt werden ( 100b Abs. 1 StPO). Nach den Bestimmungen in den 94 ff. StPO knnen bei den E-Mail-Dienstanbietern auch die dort gespeicherten E-Mails beschlagnahmt werden. Auch hierfr bedarf es grundstzlich der richterlichen Anordnung; nur bei Gefahr im Verzug darf auch die Staatsanwaltschaft die Beschlagnahme anordnen. Nach den Bestimmungen in 3 des sogenannten Artikel-10-Gesetzes (diesen Titel hat das Gesetz von Artikel 10 des Grundgesetzes, in dem das Telekommunikationsgeheimnis verbrieft ist) sind der Bundesverfassungsschutz, der Bundesnachrichtendienst und der militrische Abschirmdienst berechtigt, Telekommunikationsvorgnge, also insbesondere Telefongesprche, abzuhren und aufzuzeichnen, wenn dies erforderlich ist, um Straftaten gegen die freiheitlich demokratische Grundordnung oder den Bestand oder die Sicherheit des Bundes oder eines Bundeslandes abzuwehren oder aufzuklren. Dafr mssen tatschliche Anhaltspunkte gegeben sein, die den Verdacht rechtfertigen, dass jemand eine Straftat, wie sie in 3 des Artikel-10-Gesetzes aufgelistet ist, plant, begeht oder bereits begangen hat. Gem 5 des Artikel-10-Gesetzes knnen von den genannten Behrden auch grenzberschreitende Telekommunikationsvorgnge abgehrt und aufgezeichnet werden. Die entsprechenden Anordnungen solcher Manahmen nach dem Artikel-10-Gesetz drfen nur durch die hchsten Bundes- oder Landesbehrden getroffen werden; bei Aktivitten des Bundesverfassungsschutzes ist das Bundesinnenministerium die magebliche Behrde. Die nach 3 des Artikel-10-Gesetzes getroffenen Manahmen unterliegen der Kontrolle des parlamentarischen Kontrollausschusses. Eine Weitergabe der vom Bundesnachrichtendienst auf diese Art und Weise erhobenen Daten an Strafverfolgungsbehrden des In- oder Auslandes ist unter den Voraussetzungen von 7 (bermittlung an Strafverfolgungsbehrden) bzw. 7a des Artikel-10-Gesetzes (im Falle der bermittlung an auslndische Nachrichtendienste) zulssig. Die bermittlung an auslndische Nachrichtendienste beispielsweise bedarf zustzlich zu weiteren rechtlichen Kriterien (zu denen auch die Vereinbarkeit mit dem deutschen Datenschutzrecht gehrt) der Genehmigung durch das Bundeskanzleramt.
17 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Nach den Vorschriften des Bundesverfassungsschutzgesetzes, des Gesetzes ber den Bundesnachrichtendienst sowie des Gesetzes ber den militrischen Abschirmdienst darf unter bestimmten Voraussetzungen die Herausgabe von Bestands- und Verkehrsdaten von Telekommunikationsdiensteanbietern verlangt werden. Auch hierfr bedarf es der ausdrcklichen Anordnung des Bundesinnenministeriums, wobei auch diese Vorgnge wiederum der Aufsicht des parlamentarischen Kontrollgremiums des deutschen Bundestages unterliegen. Auslndische Nachrichtendienste (Geheimdienste) haben in Deutschland keine Rechte und wrden sich strafbar machen ( 202a, 202b oder 206 StGB). Auslndische Nachrichtendienste drfen in Abhngigkeit ihrer nationalen Gesetze abhren. Dies tun daher auch die Nachrichtendienste der EU-Staaten - mit mehr oder weniger finanziellem Aufwand. Darber hinaus kann davon ausgegangen werden, dass die organisierte Kriminalitt Abhrmanahmen durchfhrt und Daten auch manipuliert.

D 2: Gibt es ein Supergrundrecht auf Sicherheit?


Eine erste Feststellung: Supergrundrechte gibt es nicht. Alle Grundrechte sind im Grundgesetz (GG) gleichgestellt es gibt keines, das mehr wert ist als ein anderes. Die zweite Feststellung: Wer das Grundgesetz liest, wird kein Grundrecht auf Sicherheit finden. Einfache Antwort also: Es gibt kein Grundrecht auf Sicherheit. So einfach ist es aber nicht. Auch ein Grundrecht auf informationelle Selbstbestimmung kommt im Text des Grundgesetzes nicht vor. Dieses Recht hat das Bundesverfassungsgericht als besonderen Ausdruck des in Art. 2 Abs. 1 GG geschtzten Rechts auf freie Entfaltung der Persnlichkeit geschtzt. Spter hat es aus Art. 2 Abs. 1 GG auch noch das Grundrecht auf Gewhrleistung der Vertraulichkeit und Integritt informationstechnischer Systeme abgeleitet. Es gibt also Grundrechte, die im Text der Verfassung nicht ausdrcklich erwhnt sind. Nur: Ein Grundrecht auf Sicherheit gibt es in der Rechtsprechung des Bundesverfassungsgerichts nicht. Es spricht auch nicht viel dafr, dass sich das ndert: Grundrechte schtzen in erster Linie Brger vor dem Staat wer vom Grundrecht auf Sicherheit spricht, will staatliche Eingriffe legitimieren. Das passt nicht zusammen. Ein Grundrecht auf Sicherheit gibt es nicht. Aber: Es gibt ein Grundrecht auf Leben und persnliche Unversehrtheit (Art. 2 Abs. 2 GG). Auch die persnliche Freiheit (Art. 2 Abs. 2 GG) und das Eigentum (Art. 14 GG) sind grundrechtlich geschtzt. Diese Rechte schtzen zwar in erster Linie vor staatlichen Eingriffen. Aber: Grundrechte verpflichten den Staat nach bereinstimmender Meinung aller Juristen auch, die Brger vor Eingriffen Dritter in diese Rechte zu schtzen. Deswegen sind Mord,
18 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Freiheitsberaubung und Diebstahl strafbar. Deswegen werden aber auch Verkehrsregeln aufgestellt oder Datenschutzregeln fr Private. Historisch ist dieser Schutz nicht die einzige, aber eine der wichtigsten Aufgaben des modernen Staates: Der Staat stellt einen Rahmen zur Verfgung, in dem der einzelne sich entfalten kann, ohne (bermigen) Gefahren ausgesetzt zu sein. Tut der Staat das nicht, verliert er seine Legitimation, z.B. kann er das Gewaltmonopol nicht mehr fr sich beanspruchen. Alle klassischen Western zeigen Situationen, in denen es noch keinen funktionierenden Staat gab in der Regel gewinnt der Strkere. Nichtmehrstaaten wie Somalia zeigen auch heute, was dann passiert. Deswegen: Die Gewhrleistung von Sicherheit ist eine wichtige staatliche Aufgabe. Der Staat muss auch die Mittel bekommen, sie durchzusetzen. Dazu gehren auch personenbezogene Daten ber Brgern des Staates, aber auch von denen anderer Staaten die Bekmpfung von Gefahren wre sonst unmglich. Nur: Auch hier gibt es Grenzen. Diese werden wieder von den Grundrechten der betroffenen Brger gezogen. Die Gewhrleistung von Sicherheit rechtfertigt nicht jedes staatliche Handeln. Der Staat darf nicht foltern. Auch die Todesstrafe ist verboten. Strafen werden in einem Prozess verhngt, der bestimmte Rechte auch des Angeklagten gewhrleistet. Der Staat darf auch nicht zum berwachungsstaat werden und im Interesse der Sicherheit die Freiheit abschaffen. In Deutschland ist deswegen die Rasterfahndung vom Bundesverfassungsgericht immer wieder verboten worden. Auch bei anderen Eingriffen hat es Grenzen gezogen. Andere Eingriffe (etwa Durchsuchung und Beschlagnahme auch bei Unverdchtigen) waren und sind zulssig. Auch hier wird ber die Grenzen staatlichen Handelns intensiv politisch und juristisch gestritten. Insgesamt gilt: Ein Grundrecht auf Sicherheit gibt es nicht. Die Gewhrleistung von Sicherheit ist aber eine wichtige Aufgabe des Staates. Die Eingriffe des Staates zur Gewhrleistung der Sicherheit haben aber ihrerseits Grenzen durch die Grundrechte der Betroffenen.

D 3: Habe ich das Recht, etwas verbergen zu wollen?


Kurze Antwort: Rechtlich drfen Sie meist, aber nicht immer, etwas verbergen oder genauer, Sie mssen nicht antworten oder drfen sogar falsch antworten. Nur in wenigen Situationen mssen Sie korrekt antworten. Rechtlich drfen Sie also oft etwas verbergen. Ob Sie das tun wollen oder sich moralisch verpflichtet fhlen, trotzdem die Wahrheit zu sagen, bleibt dann Ihre eigene Entscheidung. Erste Aussage einer genaueren Analyse: Von sich aus mssen Sie nur ganz selten etwas sagen. Aber auch auf Fragen mssen Sie in den meisten Fllen berhaupt nicht antworten auch falsche Antworten sind rechtlich nicht verboten. Fragt Sie jemand, ob es Ihnen gut geht, mssen Sie nicht antworten sie knnen auch falsch antworten. Ob Sie jemandem
19 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

vorspiegeln, dass es Ihnen gut geht, obwohl Sie krank geht oder anders herum solange es um gesellschaftliche Kontakte geht, mischt sich das Recht nicht ein. Wenn Sie allerdings lgen, um einen finanziellen Vorteil zu erlangen, ist das verboten und sogar strafbar. Das ist nmlich Betrug. Wenn Sie nur lgen, damit andere besser von Ihnen denken, oder, um Mitleid zu erregen, oder aus ganz anderen Grnden, ist das rechtlich nicht verboten. Schweigen drfen Sie fast immer. Manche mssen es auch: Seelsorger, rzte, Rechtsanwlte und andere Berufsgruppen sind zum Schweigen ber das verpflichtet, was sie beruflich erfahren. Sie drfen also nicht etwas verbergen, sie mssen es sogar. Es gibt aber Situationen, in denen Sie antworten mssen: Wer als Zeuge vor Gericht geladen ist, muss richtig antworten. In Konfliktfllen gilt das aber nicht: Als Angehrige von Parteien mssen Sie nicht antworten. rzte, Seelsorger, Rechtsanwlte und andere spezielle Berufstrger drfen ber das schweigen, was sie beruflich erfahren. Auerdem muss sich niemand als Zeuge selbst belasten. Lgen drfen Sie dann aber auch nicht: Wenn Sie nicht schweigen, mssen Sie die Wahrheit sagen. Kurz gesagt: Sie mssen nichts aufdecken, sie drfen aber auch nichts verstecken. Auch als Prozesspartei mssen Sie die Wahrheit sagen. Nur ein Beschuldigter oder Angeklagter im Strafverfahren darf sogar lgen. Reden mssen Sie aber auch in anderen Situationen: Wer ein Haus verkauft, muss den Kufer auf Hausschwamm hinweisen, wenn er davon wei. Ein Handelsvertreter muss ber seine Vermittlungen berichten, sein Prinzipal muss die Vergtung abrechnen. Wer hier schweigt, falsche Auskunft gibt oder falsch abrechnet, muss Schadensersatz oder andere zivilrechtliche Konsequenzen befrchten oft macht er sich sogar strafbar. Hier gibt es keine Zeugnis- oder Auskunftsverweigerungsrechte. Schweigen ist nie zulssig. Das gilt auch, wenn ein Arbeitgeber Korruptionsvorwrfen nachgeht: Ein Arbeitnehmer ist arbeitsrechtlich verpflichtet, wahrheitsgem Auskunft darber zu geben, was er getan hat, auch wenn er sich selbst, Kollegen, Freunde oder Angehrige belastet. Das macht sich oft auch die Staatsanwaltschaft zu Nutze: Sie lsst den Arbeitgeber ermitteln und beschlagnahmt dann die Unterlagen, um sie gegen den Arbeitnehmer zu verwenden. Das Schweigerecht des Beschuldigten, das Aussageverweigerungsrecht von Zeugen wird so umgangen. Unzulssig ist solch ein Vorgehen nach der Mehrheitsmeinung der Juristen nicht, obwohl viele Strafverteidiger das anders sehen. Manchmal drfen Sie freilich auch in solchen Situationen nicht nur schweigen, sondern sogar lgen, dann nmlich, wenn ihr Vertragspartner eine unzulssige Frage stellt und nur eine Lge Ihnen hilft: Das klassische Beispiel ist die Frage an die Arbeitsplatzbewerberin nach einer Schwangerschaft: Eine Schwangere darf die Schwangerschaft verleugnen. Es muss um unzulssige Fragen und gravierende Nachteile gehen.
20 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

Alles in allem gilt folgendes: Rechtlich drfen Sie oft etwas verbergen ob sie das tun oder nicht, mssen Sie selbst entscheiden. Im Internet wird in diesem Zusammenhang oft eine spezielle Frage diskutiert: Gibt es ein Recht auf Anonymitt im Netz? Nach der gelten Gesetzeslage ist die Antwort einfach: ja. 13 Abs. 5 Telemediengesetzt lautet nmlich: Der Diensteanbieter hat die Nutzung von Tel emedien und ihre Bezahlung anonym oder unter Pseudonym zu ermglichen, soweit dies technisch mglich und zumutbar ist. Der Nutzer ist ber diese Mglichkeit zu informieren. Diese Norm gilt praktisch fr alle Anbieter im Internet. Sie sieht die anonyme Nutzung des Internets vor. Ob das so bleiben soll, ist unter Juristen umstritten: Der Deutsche Juristentag 2012 hat mit knapper Mehrheit beschlossen, dass es ein Recht auf Anonymitt im Internet nicht geben soll. Man muss zwar nicht unter dem eigenen Namen handeln mssen. Jeder soll aber identifizierbar bleiben, damit Rechtsverste verfolgt werden knnen. Der Gesetzgeber hat dieses Votum aber bislang nicht umgesetzt. Hier gibt es auch verstndliche Konflikte: Wer beleidigt wird, mchte wissen, wer das getan hat. Das gilt auch fr den, der im Internet betrogen wurde. Nahezu jeder will, dass der gefunden wird, der Mordaufrufe oder Kinderpornographie im Internet verbreitet. Das geht aber nicht, wenn es wirklich anonym geschieht. Umgekehrt: In vielen Staaten wird legitime Kritik an den Herrschenden oder auch in ihren Freunden in der Wirtschaft brutal bestraft hier muss es mglich sein, sich anonym zu uern. hnliches gilt auch fr Staaten, in denen Andersglubige (oder Nichtglubige) verfolgt werden. Juristisch gesprochen geht es um Grundrechte und ihre Grenzen, aber auch um unterschiedliche Grundrechtstrger, deren Grundrechte widerstreitende Interessen schtzen und die zum Ausgleich gebracht werden mssen der Fachterminus ist der der praktischen Konkordanz von Grundrechte. Wie das geschieht, darber wird im Einzelfall immer gestritten. Ein Beispiel: Das Grundrecht auf informationelle Selbstbestimmung verlangt, dass nur das ber eine Person aufgezeichnet wird, was der Betroffene will wenn er sich anonym uern will, ist das ein Ausdruck seiner informationellen Selbstbestimmung. Wenn er aber anonym in einem Meinungsforum seinen Nachbarn beschuldigt, Straftaten zu begehen, ist das ein Eingriff in dessen persnliche Ehre (und in dessen informationelles Selbstbestimmungsrecht). Die Ehre ist aber auch grundrechtlich geschtzt. Man muss dann abwgen, welches Grundrecht vorgeht. Die jetzige Regelung ist so, dass die Anonymitt geschtzt ist, der Diensteanbieter die uerung aber nach einem Hinweis des Nachbarn aus dem Forum entfernen muss (Notice and take down, 10 S. 1 TMG). Damit kann der Nachbar zwar erre i21 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

chen, dass die uerung in diesem Forum gestrichen wird, nicht aber, dass es dem uernden verboten wird, sie weiterhin (z.B. in anderen Meinungsforen) zu machen, wenn sie falsch ist auch ein Schmerzensgeld kann er nicht durchsetzen. Das reichte der Mehrheit des beim Deutschen Juristentag anwesenden Juristen nicht aus. Sie wollten, dass in einem solchen Fall die Anonymitt aufgehoben werden muss und der Nachbar gegen den uernden vorgehen kann. Der Gesetzgeber ist diesem Begehren aber nicht nachgekommen.

D 4: Kann ich mich bei Fragen an den Bundesdatenschutzbeauftragten wenden?


Am Anfang die einfache Antwort: Wenn Sie sich mit Fragen an den Bundesdatenschutzbeauftragten wenden, wird er sie beantworten, u.U. aber auch nur mit dem Hinweis auf zustndige andere Behrden. Angesichts der komplizierten Zustndigkeiten beim Datenschutz ist das oft sehr hilfreich. Fragen mit Bezug zu Bundesbehrden wird der Bundesdatenschutzbeauftragte aber immer beantworten. Geht man der Frage genauer nach, geht es in erster Linie um Zustndigkeiten: Zustndig ist der Bundesbeauftragte fr Datenschutz und Informationsfreiheit so heit die Behrde exakt nur fr die Kontrolle der ffentlichen Stellen des Bundes, d.h. fr Bundesbehrden, ffentliche rechtliche Krperschaften des Bundes wie der Bundesagentur fr Arbeit und andere Einrichtungen ffentlichen Rechts ( 24 Abs. 1 BDSG). Zu diesen ffentlichen Stellen des Bundes gehren auch das Bundeskriminalamt, das Bundesamt fr Verfassungsschutz und der Bundesnachrichtendienst. Der Bundesdatenschutzbeauftragte ist nicht zustndig fr die Aufsicht ber Landesbehrden dafr gibt es Landesdatenschutzbeauftragte. Er ist auch nicht zustndig fr die Aufsicht ber private Unternehmen. Dafr gibt es Aufsichtsbehrden. Das sind in vielen Lndern auch die Landesdatenschutzbeauftragten, in anderen aber auch die Bezirksregierungen. Fr auslndische ffentliche Einrichtungen wie die NSA ist im Prinzip keine Behrde in Deutschland zustndig. Auch die Gerichte unterliegen weitgehend keiner Kontrolle durch die Datenschutzbeauftragten. Besonderheiten gelten im besonders sensiblen Bereich der Telekommunikation, also fr Telefon und Datenbermittlung auch im Internet: Hier fhrt der Bundesbeauftragte auch die Aufsicht ber die privaten Telekommunikationsunternehmen ( 115 Abs. 4 TKG). Soweit hier aber die Nachrichtendienste ttig sind, darf sie der Bundesbeauftragte nur eingeschrnkt kontrollieren. Eigentlich ist nur die sog. G10-Kommission des Bundestages fr Aufsicht und Kontrolle zustndig sie kann aber den Bundesbeauftragten mit der Kontrolle beauftragen, er darf dann aber nur ihr berichten ( 24 Abs. 2 S.3 BDSG). Soweit der Bundesbeauftragte fr Datenschutz und Informationsfreiheit fr die Aufsicht zustndig ist, muss er auch Eingaben von Brgern bearbeiten und Fragen beantworten ( 21
22 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

BDSG). Damit er das kann, hat er auch eigene Ermittlungsrechte gegenber den Behrden. Die Behrden mssen ihm Fragen beantworten und Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und die Datenverarbeitungsprogramme gewhren ( 24 Abs. 4 S. 2 Nr. 1 BDSG). Fr Sicherheitsbehrden gilt das nicht, wenn dadurch die Sicherheit des Bundes oder eines Landes gefhrdet ist. Aber auch dann, wenn er Ausknfte erhlt, darf er sie dem Brger gegenber nur so verwenden, dass Geheimhaltungsvorschriften nicht gefhrdet sind. Fr die Nachrichtendienste gilt auerdem, dass der Bundesbeauftragte im Bereich der Telekommunikation nur der G10-Kommission berichten darf. Der Bundesbeauftragte arbeitet auerdem regelmig auf internationaler, insbesondere auf europischer Ebene mit auslndischen Datenschutzbehrden zusammen. Auch dazu wird er Fragen beantworten. Auerhalb seines Zustndigkeitsbereichs wird der Bundesdatenschutzbeauftragte Ihre Fragen inhaltlich nicht beantworten knnen.

D 5: Wo kann ich Bestimmungen zum Datenschutz nachlesen? Ist der Ausdruck Datenschutz noch passend, wenn es primr um Kommunikationsverhalten geht?
Grundstzlich gilt das Bundesdatenschutzgesetz (BDSG). Fr den Umgang mit Telekommunikationsdaten gilt das Telekommunikationsgesetz (TKG) ( 88 - 115) und fr den Umgang mit Internetdaten das Telemediengesetz (TMG) ( 11 15a). Die Texte sind z.B. nachzulesen unter http://www.datenschutz.de/. Da es bei der berwachung des Internet oder der Telekommunikation um die Verarbeitung von Kommunikationsdaten geht, betrifft diese berwachung eine bestimmte Form des Datenschutzes. Durch die Speicherung und Ausforschung von Telekommunikations- und Internetdaten ist nicht nur die informationelle Selbstbestimmung nach Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen, sondern auch das Grundrecht auf Schutz des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG.

D 6: Wie lsst sich Privatsphre definieren? Was ist rechtlich klar definierbar, was ist subjektives Gefhl und Wunschdenken? Gibt es Unterschiede zwischen Europa und USA?
In Deutschland werden Privatsphre und Datenschutz von Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG gewhrleistet. Aus diesen Grundrechten auf freie Entfaltung der Persnlichkeit und auf Schutz der Menschenwrde hat das Bundesverfassungsgericht spezifische Grundrechte konkretisiert. Fr den Schutz des Persnlichkeitsrechts unterscheidet es Intim23 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

sphre, Privatsphre und ffentlichkeitssphre und gewhrleistet einen nach betroffener Sphre einen unterschiedlichen Schutz gegen das Eindringen der ffentlichkeit (z.B. gegenber den Medien). Fr den Schutz gegenber der automatisierten Datenverarbeitung hat sich diese rumliche Schutzkonzeption nach Sphren als wenig geeignet erwiesen. Es wurde fr den Datenschutz durch das Volkszhlungsurteil 1983 des Bundesverfassungsgerichts durch das Konzept der informationellen Selbstbestimmung abgelst. Dieses beruht auf der Theorie sozialer Rollen und einem Konzept der Persnlichkeitsentwicklung in sozialer Kommunikation. Nach dem Grundrecht auf informationelle Selbstbestimmung steht jedem die Befugnis zu, selbst zu bestimmen, wer wann welche Daten ber einen selbst erheben, verarbeiten, nutzen und verffentlichen darf. Nach diesem Konzept gibt es keine nicht schtzenwerten personenbezogenen Daten. Deren Schutzbedrftigkeit hngt nicht von den Daten, sondern vom Kontext ihrer Verwendung ab. Jeder Umgang mit Daten ohne Erlaubnis durch den Betroffenen oder den Gesetzgeber gilt als Grundrechtsverletzung und ist verboten. In der Europischen Grundrechtecharta wird in Art. 8 jeder Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten zugestanden. Diese Daten drfen nur nach Treu und Glauben fr festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Die europischen Vorstellungen zum Datenschutz sind durch die deutschen Vorarbeiten stark geprgt und mit dem deutschen Konzept weitgehend inhaltsgleich. In USA wird kein Grundrecht auf informationelle Selbstbestimmung anerkannt, sondern nur ein Right to be left alone. Dementsprechend gibt es in USA nur einzelne Gesetze, d ie dieses Recht in bestimmten Lebensbereichen ansatzweise schtzen. Eine allgemeine und systematische Gesetzgebung zum Schutz dieser Form der Privatsphre gibt es aber nicht.

D 7: Gibt es gesetzliche Auflagen, die Firmen aus den USA wie Amazon, Google und Facebook erfllen mssen, um Geheimdienste oder Ermittlungsbehrden zu untersttzen? (a) Amerikanische Brger betreffend (b) Nicht-Amerikaner betreffend. Kann ich im Internet ohne Bedenken Dienste in Anspruch nehmen, von denen bekannt ist, dass sie die Cloud-Funktionen bekannter amerikanischer Anbieter (wie Amazon und Google) nutzen?
Nach dem Foreign Intelligence Surveillance Act (FISA) (50 U.S.C. 1861) knnen US Sicherheitsbehrden beim sog. FSI-Court eine Anordnung beantragen, die eine Person verpflichtet, die bei ihr befindlichen Geschftsunterlagen (hierzu gehren auch alle gespeicherten Daten) herauszugeben. Anordnungen knnen gegenber jeder beliebigen Stelle erlassen werden und haben nur zur Voraussetzung, dass Unterlagen mit einer Untersuchung von Terrorismus und Spionage in Verbindung stehen. Der FSI-Court ist ein geheim tagendes Sonder24 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0

gericht, dessen einzige Aufgabe es ist, ber Anordnungen nach dem FISA zu entscheiden. Eine Anordnung kann von US-Unternehmen auch verlangen, dass sie Daten herausgeben, die sich im Ausland befinden oder die sie sich im Ausland (z.B. von Konzerntchtern) beschaffen knnen. Weigern sie sich, drohen ihnen empfindliche Sanktionen wegen einer Missachtung des Gerichts (Contempt of Court). Der FISA bezweckt die Aussphung von Nicht-USBrgern. Zur Herausgabe verpflichtet werden knnen aber nur Personen, die dem US-Recht unterliegen. Diesen berwachungsmanahmen kann sich niemand entziehen, der personenbezogene Daten einem amerikanischen Unternehmen oder dessen deutschen Tchtern anvertraut, auch wenn die Daten in Deutschland oder Europa gespeichert werden. Kommentare und Rckfragen sind willkommen. Gerne per E-Mail an cornelia.winter@gi.de. Bonn, 28. August 2013
Gesellschaft fr Informatik e.V. (GI) Wissenschaftszentrum Ahrstr. 45 53175 Bonn Tel.: +49 (0)228/302-145 / Fax: +49 (0)228/302-167 E-Mail: gs@gi.de / WWW: http://www.gi.de

25 Gesellschaft fr Informatik e.V. (GI) 2013: FAQ-Liste zu Sicherheit und Unsicherheit im Internet 2. September 2013, Version 1.0